Динамический анализ кода DAST | OTUS
Скидка до 15% на курсы декабря и января
❄️ До 25.12 Забрать скидку! →
Выбрать курс

Динамический анализ кода DAST

В процессе трансформации DevOps в DevSecOps не обойтись без применения специальных подходов. Про SAST мы уже рассказывали, на очереди DAST.

На практике динамические анализаторы кода позволяют находить такие уязвимости, как переполнение буфера, SQL-инъекции и так далее, причем происходит все по методу черного ящика. По сути, само использование DAST -- это уже существенный шаг в сторону DevSecOps-практик.

8_ebticq5zutqln8qmut5og8ubm_1-20219-7d1c64.png

Говоря об инструментах динамического анализа, следует сказать, что это, по сути, некая имитация работы пользователя с программным приложением. Когда речь идет о web-приложении, отправляются запросы, имитируется работа клиента, кликаются кнопки на фронтенде, посылаются искусственные данные из формы: скобки, кавычки, символы в различных кодировках. Задача -- посмотреть, каким образом приложение функционирует и обрабатывает внешние данные.

Система дает возможность проверять шаблонные уязвимости в Open Source. При этом DAST ведь "не знает", какой Open Source мы применяем, поэтому просто кидает «зловредные» паттерны, анализируя ответы сервера. И тут надо быть внимательным, т. к. если тест безопасности проводится на том же стенде, на котором работают тестировщики, возможны неприятные последствия. Среди возможных нюансов:

  1. Высокая нагрузка на сервер и сеть.
  2. Отсутствие интеграций.
  3. Вероятность изменения настроек анализируемого программного приложения.
  4. Отсутствие поддержки нужных технологий.
  5. Сложность настройки.

Таким образом, возможные риски надо учитывать. Идеальный вариант -- отдельный стенд для тестирования безопасности, изолированный от прочего окружения.

Важно учесть и тот факт, что это можно применять в качестве аналога нагрузочного тестирования. Например, на 1-ом этапе вы можете включить динамический сканер в 10 и более потоков чтобы узнать, что получится -- практика показывает, что ничего хорошего.

Ресурсы DAST

Пример ресурсов для использования:

k_in2lichhgei6nzqvh4kofkuk0_1-20219-d153de.jpeg

Тут отдельно можно выделить Burp Suite — не что иное, как "швейцарский нож", известный практически любому специалисту по информационной безопасности. Он очень удобен, его применяют многие. Очень рекомендуется к применению.

По материалам https://habr.com/ru/company/oleg-bunin/blog/448488/.

Хотите знать больше? Добро пожаловать на курс DevSecOps!

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто
Новогодние скидки в Otus!-15% ❄️
Успейте забрать свою скидку до 28.12 →